'XZ-utils' es un paquete de aplicaciones open source que permiten gestionar archivos comprimidos en el formato '.xz'. La cuestión es que este formato ofrece mayores tasas de compresión que, por ejemplo, los .zip. Y eso lo ha convertido en un proyecto muy popular en entornos Linux, tanto que hasta el kernel de Linux lo usa para distribuir sus archivos.

Y esto, claro, ha llevado a que la práctica totalidad de distribuciones Linux incluyan esta herramienta por defecto. Así que imagínate por un momento que un ciberdelincuente se dedica a aportar código a este proyecto abierto durante dos largos años, código malicioso que, poco a poco y sin que nadie se dé cuenta, va construyendo una 'puerta trasera' en XZ.

Imagina que esta puerta trasera permite modificar el SSH (sistema de acceso remoto) de Linux, lo que a su vez proporciona potencialmente el control de cualquier dispositivo infectado. Y ahora recuerda que, a la larga, la mayoría de los dispositivos Linux del planeta (que son minoría en escritorio, sí, pero mayoría aplastante en servidores de Internet) estaban destinados a actualizarse a esta versión maliciosa de XZ.

En Genbeta

Qué fue de los programadores que hace dos años trabajaron gratis para evitar pérdidas millonarias a grandes tecnológicas

Algunos han descrito este plan como 'hackear el planeta'. Quizá suene exagerado, pero no tanto como crees.

Pues bien, deja de imaginarte este escenario, porque ha ocurrido realmente. O más bien, estaba a punto de ocurrir: varias distribuciones ya habían empezado a distribuir en las últimas semanas la versión maliciosa de XZ... hasta que, este fin de semana, un desarrollador de Microsoft ha salvado al mundo. Así, como suena.

"Tenemos una puerta trasera"

Lo más curioso es que descubrió lo que estaba pasando porque notó que un proceso de su ordenador iba más lento de lo esperado. 0,5 segundos más lento, para ser precisos. Demos la palabra al héroe del día, Andres Freund:

"En ese momento estaba realizando algunas microevaluaciones y necesitaba apaciguar el sistema para reducir el ruido. Vi que los procesos de sshd estaban utilizando una cantidad sorprendente de CPU, a pesar de que fallaban inmediatamente debido a nombres de usuario incorrectos, etc.

Al hacer el perfil de 'sshd', mostraba que se dedicaba mucho tiempo de CPU en liblzma, pero [la herramienta] 'perf' era incapaz de atribuirlo a una función concreta. Empecé a sospechar. Recordé que había visto un aviso extraño de [la herramienta] Valgrind en las pruebas automatizadas de postgres, unas semanas antes, después de las actualizaciones de paquetes. Realmente requirió muchas coincidencias".

Pero, ¿qué había encontrado exactamente?

"Después de observar algunos síntomas extraños en torno a liblzma (parte del paquete xz) en instalaciones de Debian Sid durante las últimas semanas (los inicios de sesión con ssh requieren mucha CPU, errores de valgrind) descubrí la respuesta: El repositorio de XZ y sus archivos tar tienen una puerta trasera".

Tras dejar caer esta bomba, la comunidad open source se ha puesto a revisar con detenimiento las aportaciones de código al repositorio de XZ, y las ha rastreado hasta un usuario llamado 'Jia Tian' o 'JiaT75', quien aparentemente hizo uso de varias cuentas falsas con poca actividad para presionar en favor de que sus contribuciones se incorporasen al código de XZ, primero, y para lograr situarse como co-mantenedor del repositorio, más tarde.

Tienes todo el rastro de actividad de Jia Tian en esta web, donde también relatan sus intentos de última hora para lograr que el XZ infectado se incorporase a diversas distribuciones Linux (como Ubuntu o Fedora).

Y por cierto: la vulnerabilidad, una vez identificada, ha sido puntuada con un 10 (sobre 10) en el índice de peligrosidad.

Por cierto, los paquetes infectados estaban disponibles en Fedora 40, Fedora Rawhide, Kali Linux, openSUSE Tumbleweed, openSUSE MicroOS y Debian (testing, unstable y experimental). Actualiza si usas cualquiera de estas distros.

Imagen | Marcos Merino mediante IA + Foto de avatar de Andres Freund (vía Mastodon)

En Genbeta | Los errores de 'Hackers', la película que marcó cómo ve Hollywood a los 'piratas informáticos'

Aunque hayamos podido olvidarlo en estos tiempos en que todo cuanto tiene que ver con la informática parece ser sinónimo de modernas interfaces gráficas, aún hay muchas tareas que podemos realizar sin salir del modo texto (ayer, sin ir más lejos, te hablábamos del editor de texto Vim para demostrarlo). Pero quizá pienses que la navegación web, llena de gráficos, vídeos, scripts y animaciones, no sea el mejor ejemplo de ello.

Sin embargo, te equivocarías: los creadores de Browsh han desarrollado un navegador basado al 100% en el modo texto (le basta con ejecutarse en una terminal de 24 bits) que, sin embargo, es tan capaz como cualquier navegador gráfico de mostrarnos vídeos, imágenes, contenido WebGL y de procesar tanto CSS como JavaScript —la única pega es que la visibilidad es algo peor—. ¿Cómo es posible esto?

Una trampa utilísima la que ejecuta este Browsh

Bueno, pues, en gran medida, esto es posible porque Browsh… hace trampa. Así, como lo lees: lo que hace este 'navegador' es abrir una instancia de Mozilla Firefox invisible para el usuario (lo que llamamos en 'modo headless'), y luego conectarse a esta instancia para convertir los gráficos que nos ofrecería normalmente Firefox al formato ASCII, utilizando lo que la documentación oficial del programa describe en estos términos:

"Browsh utiliza el 'truco de medio bloque de UTF-8', que permite obtener 2 colores de cada celda del carácter, simulando gráficos básicos".

Y de ahí el aspecto de gráficos de 'baja resolución' que ofrece la página visualizada en Browsh. Pero, si éste es su funcionamiento, ¿cuál es el atractivo de contar con un navegador como Browsh, más allá de la mera curiosidad? Sólo nos ofrece lo que ya podemos obtener (y mucho mejor hecho) en otro software del mismo equipo, ¿verdad?

En Genbeta

Bashblog, un simple script que te permite escribir y publicar blogs en modo texto desde la terminal de Linux

Pero no, Browsh aún se guarda un as en la manga: no hace falta que el Firefox 'headless' esté en el mismo equipo que estamos usando, sino que basta con que pueda conectarse al mismo vía SSH/Mosh.

De este modo, es otro equipo —más potente, con interfaz gráfica, y quizá hasta con mejor conexión… puede tratarse incluso de un a máquina virtual en la nube— quien lleva a cabo todo el esfuerzo de conectarse a Internet, descargar los contenidos y procesar la visualización del sitio web en cuestión. Eso permite que el equipo que estamos ejecutando en modo texto ahorre memoria y ancho de banda.

¿Cómo usarlo?

El navegador que nos ocupa, Browsh, es open source y multiplataforma: está disponible para macOS, Linux, *BSD y —de forma experimental— Windows 10 y 11. En Windows, para ejecutarlo, nos ha bastado con seguir los siguientes pasos:

1. Descargar el ejecutable disponible en su página web.
2. Ejecutarlo desde Windows Terminal con el comando 'browsh --firefox.with-gui'.
3. Esperar a que se abra Firefox (en este caso su ejecución no será 'invisible') e instalar en el mismo esta extensión: https://github.com/browsh-org/browsh/releases/download/v1.6.4/browsh-1.6.4-an.fx.xpi
4. Abrir la web deseada en Firefox e irnos a la ventana de Browsh. El resultado lo tienes en la imagen que encabeza este artículo.

Kobalos era, en la mitología griega, una pequeña y malévola criatura que se dedicaba a engañar y asustar a los mortales. Por eso, la versión troyanizada del software OpenSSH que está siendo empleada para poner en jaque a supercomputadores con Linux, la mayoría, y otros objetivos destacables ha sido bautizada así.

La compañía de ciberseguridad ESET ha analizado este malware y lo describe como "pequeño, pero complejo". Es multiplataforma, funcionando en sistemas como Linux, BSD, Solaris y posiblemente AIX y Windows, y esencialmente se está dirigiendo a los clústers de computación de alto rendimiento.

Sistemas gubernamentales, universidades y proveedores de servicios sufren sus efectos

Sector y región de las organizaciones comprendidas. / ESET

Los investigadores de la empresa eslovaca han observado que los tipos de objetivo cambian dependiendo del lugar en el que este programa malicioso actúe.

En América del Norte, por ejemplo, sus objetivos han sido sistemas gubernamentales y proveedores de seguridad de punto final. Las redes de universidades y específicamente los clústers de computación de alto rendimiento han sido algunos de los blancos en Europa. En cuanto a Asia, han actuado contra un gran proveedor de servicios de internet.

En Genbeta

Emotet, "el malware más peligroso del mundo", ha sido desmantelado por una acción policial a nivel mundial

Kobalos está siendo utilizado fundamentalmente para robar credenciales SSH de superordenadores, como pudieron comprobar en ESET al aplicar ingeniería inversa y rastrear a las posibles víctimas. Otorga acceso remoto al sistema de archivos, brinda capacidad de generar sesiones de terminal y permite conexiones de proxy a otros servidores infectados.

Lo que no se sabe, por ahora, cuál es el propósito concreto de estos ataques ni quién o quiénes están detrás de los mismos.

Esta creación tiene un nivel de sofisticación que poco habitual en el malware de Linux y los investigadores responsables del hallazgo recomiendan habilitar la autenticación de dos pasos a la hora de conectarse a los servidors SSH.

Si tienes contratado un servidor para alojar tu página y además te dan acceso SSH, el siguiente "truco" te permitirá compartir torrents a toda velocidad, tanto la subida como la bajada (en la imagen puedes ver que rápidamente se consiguen velocidades de 1200 KB/s, y subiendo). Básicamente, se trata de ejecutar en tu servidor un gestor de torrents en modo texto en segundo plano, que se mantenga abierto incluso después de que cierres tu sesión. Luego, te lo bajas en descarga directa desde tu servidor, normalmente al máximo de tu conexión. Aquí están los comandos explicados que necesitas:

Primero, y una vez hecho login vía ssh en tu servidor, te descargas las fuentes oficiales y las descomprimes:

cd $HOME

wget http://mesh.dl.sourceforge.net/sourceforge/bittorrent/BitTorrent-4.0.1.tar.gz

tar xzf BitTorrent-4.0.1.tar.gz

Luego, creas las carpetas necesarias para guardar los ficheros, el nombre da igual, pero si lo cambias tendrás que cambiar el comando de abajo. La primera es para los archivos descargados, y la segunda para los archivos .torrent que quieres empezar a descargar:

mkdir torrents

mkdir torrents/active

Ahora hay que explicar cómo funciona. La aplicación que vamos a lanzar va a buscar en la carpeta torrents/active archivos .torrent: si hay alguno, comienza o sigue con las descarga. Es decir, para bajarnos un torrent lo dejamos ahí, si queremos quitarlo, lo quitamos de esa carpeta. Para bajarte un archivo .torrent dada la dirección http del mismo, haremos lo siguiente:

wget -O $HOME/torrents/active/nombre-del-torrent.torrent http://www.webdeltorrent.com/archivo.torrent

Una vez que tenemos bajados los archivos .torrents a la carpeta active, ya solo nos queda ejecutar la orden. Te aconsejo que lo guardes en algún fichero o crees un alias, ya que es difícil de recordarlo todo (solo es una línea):

($HOME/BitTorrent-4.0.1/btlaunchmany.py $HOME/torrents/active/ --save_in $HOME/torrents/ --minport 6885 --max_upload_rate 300 >$HOME/torrents/torrent.log 2>&1 &) &

Lo único que querrás cambiar es el 300, que es la velocidad máxima de subida, y que como se trata de una aplicación P2P, también limitará la velocidad de bajada.

Sin embargo, hay varios problemas con este método:

• El primero y más importante: consulta los términos del contrato con tu hosting, es muy probable que no lo puedas hacer "legamente", además de que si es compartido puedes molestar al resto de los usuarios. Así que ya sabes, úsalo bajo tu propia responsabilidad.
• Hay algunos hostings que matan a los procesos si se pasan de una cuota de CPU o similar. Por ejemplo, en este caso tendrás que añadir una tarea al cron, o ejecutar el comando a mano de vez en cuando.
• Hay algunos hostings que cierran determinados puertos ligados normalmente al p2p, tendrás que ir probando.
• Puede que no tengas almacenamiento suficiente, aunque hoy día suelen dar capacidades bastante grandes. En general, lo que te interesa es un hosting con gran capacidad y gran ancho de banda.
• Además, tu servidor debe tener instalado Python, aunque bueno, eso también lo tienen casi todos.

Este método sirve para cualquier máquina linux a la que tengas acceso mediante ssh, así que ahora que estamos de vacaciones, también podrías manejar con este sistema tus descargas de casa desde el portátil.

Anteriormente llamado Telekinesis, el proyecto del creador de QuickSilver para Mac, pasa a llamarse iPhone Remote y pretende enlazar vuestro Mac con un iPhone vía una serie de servicios web que posibilitarían ese acceso.

De momento permite hacer capturas, ejecutar iTunes y algún Applescript en el Mac al que se accede. También tiene acceso a la iSight, al escritorio y permite el streaming de vídeos y música a vuestro terminal.

Junto con otro proyecto llamado Webshell, que permite la creación de una sesión SSH entre el Mac y el teléfono, tenemos los primeros intentos de aplicaciones de terceros que a través de servicios web permiten interconectar el nuevo teléfono de Apple con un Mac, más allá de la sincronización con iTunes.

Vía | TUAW | Daring Fireball
Más información | Webshell, en Applesfera
Sitio Web | Proyecto Telekinesis

La semana pasada, al menos yo, nos quedábamos alucinados con Coda, un editor de programación web fusionado con un cliente de FTP y un cliente SSH.

Esta semana, los chicos de Panic nos traen una actualización de Coda, Coda 1.0.1, donde se solucionan diversos aspectos y detalles de la versión inicial, ampliando las funcionalidades y soporte de Coda: * Nuevo modo ActionScript. * Nuevo modo JSP-HTML. * Nuevo modo para plantillas Smarty. * Nuevo campo de configuración de los sitios, pudiendo especificar la URL Local inicial con lo que podremos visualizar en el modo de previsualización archivos locales directamente desde el directorio o a través de un servidor web local.

Sitio oficial | Panic. Notas de la versión | Panic. En Genbeta | Coda, el secreto mejor guardado de Panic y Coda, el mejor cliente de FTP para Mac con un potente editor de texto y mucho más.

Si hace poco que he comentado que Smultron era mi editor de texto para programación favorito, ahora hay un nuevo sheriff en la ciudad. Su nombre es Coda, del cuál, desde hace un par de semanas aproximadamente, entré a formar parte de la beta privada.

Coda es un editor de textos supervitaminado, ya que por una parte llega desde los creadores de Transmit, el mejor cliente FTP para MacOS, por el otro, que han incluido casi todas las funcionalidades deseables en un editor.

Vamos por partes.

Cliente FTP. Coda incluye, ya que se ha tomado como base, casi todas las funcionalidades básicas de Transmit. No sólo permite importar la configuración desde el mismo, sino que puedes realizar en Coda todas las operaciones que solías realizar en Transmit además de poder configurar el acceso vía SSH, como luego comentaré.

Previsualización. Coda incluye una previsualización del sitio que estamos desarrollando, pudiendo seleccionar el navegador a utilizar en la misma de entre los instalados en nuestro Mac, por lo que podrás ver qué tal queda en diversos motores de renderizado.

Editor CSS. El editor de hojas de estilo CSS es de lo mejor que he visto en mucho tiempo superando, tampoco por mucho, al integrado en Dreamweaver. Aunque no soy muy aficionado al uso de estos editores, si que será de gran ayuda a los acostumbrados a su uso o a recién iniciados en el diseño/maquetación web. Existen dos modos de visualización, * modo visual, como se muestra en la captura superior * y modo texto, como si fuese un editor de texto, eso sí, con auto-completado, que luego extenderé en la parte del editor.

Terminal. La opción Terminal nos permite acceder a través de SSH a nuestro servidor para realizar cualquier tarea del mismo modo que permitiría una aplicación dedicada en exclusiva a ello o desde el propio Terminal de MacOS. El funcionamiento en este aspecto es impecable.

Documentación. La documentación, accedida de modo remoto y por tanto actualizada, nos permite visualizar los manuales básicos de PHP, HTML, CSS y Javascript, aunque supongo que posteriormente irán añadiendo más manuales como Ruby, AJAX,...

Editor. El editor de texto es simplemente genial, mucho superior a las diversas opciones que hemos probado durante meses, como Textmate o Smultron. La única pega es que el auto-completado se limita al lenguaje de programación seleccionado por lo que al seleccionar el modo PHP-HTML, se ve centrado principalmente en PHP, dejando un poco de lado el completado de HTML. Sin embargo, el funcionamiento es espectacular.

Así mismo, permite seleccionar el formato de codificación (sin montarse líos como suelen realizar otros editores), formato del salto de línea, compartir por Bonjour el archivo (permitiendo editar simultáneamente entre diversos desarrolladores el mismo archivo), utilizar snippets estilo Textmate, múltiples vistas horizontales y verticales del mismo o diversos archivos, búsqueda avanzada permitiendo el uso de expresiones regulares y relevancia de los términos buscados, soporte de serie para XHTML, HTML, CSS, Javascript, Java, Perl, Python, Ruby y SQL tanto en coloreado de sintaxis como de auto-completado, entre un largo etcétera.

Llevo más de semana y media utilizándolo como mi editor de programación, cliente de FTP y terminal SSH y puedo afirmar que es de lo mejor que he probado en bastante tiempo.

Se encuentra disponible, únicamente, para MacOS, binario universal, a un precio de 79 dólares con versión de prueba de 5 14 días.

Sitio oficial | Coda. Descarga | Panic.

Seguro que si alguna vez habéis probado o tenéis algún Mac, habréis visto Transmit. Transmit es el cliente FTP/SFTP más famoso para MacOS creado por Panic, desarrolladores de otras aplicaciones interesantes como CandyBar.

Desde hace casi dos semanas, comenzaron a distribuir por beta privada a los que se habían apuntado como beta-testers, entre los que me encuentro, una nueva aplicación llamada Coda.

En cuanto el lanzamiento sea público (a petición de Panic no mostraremos nada todavía), tendréis un especial en exclusiva con todos los detalles sobre Coda. Sólo os diré que es un editor de texto y que es de lo mejor que he visto en mucho tiempo.

Sitio oficial | Panic. Vía | Digg.

PuTTY es un cliente Telnet, ssh y ssh2 de código abierto de los más conocidos y utilizados, su sencillez y su eficiencia son dos de sus mejores bazas. En esta nueva versión beta, tenemos las siguientes novedades:

• Solución a muchos bugs reconocidos
• El protocolo SSH funciona ahora de forma más rápida.
• Hay nuevas mejoras en la criptografía en SSH-2 que aumentan la seguridad
• Tenemos mejoras en el manejo de ancho de banda usando SFTP.
• Existe ahora la posibilidad de configurar ClearType en Windows.

¡Gracias David!

Vía | carrero | mundogeek Descarga | PuTTY